12 lutego przestępcy wykorzystali zhakowane dane uwierzytelniające, aby uzyskać zdalny dostęp do portalu Change Healthcare Citrix, aplikacji umożliwiającej zdalny dostęp do komputerów stacjonarnych. Portal nie posiadał uwierzytelniania wieloskładnikowego. Gdy ugrupowanie zagrażające uzyskało dostęp, w bardziej wyrafinowany sposób przemieszczało się po systemach i wydobywało dane. Ransomware zostało wdrożone dziewięć dni później.